Twitter schließt eine Lücke und die nächste taucht auf

Twitter-Anwender können seit neuestem eine PIN angeben, die verhindert, dass jemand ihnen gefälschte Status-Updates via SMS unterschiebt. Dafür könnte ein Wurm eine Cross-Site-Scripting-Lücke ausnutzen.

In Pocket speichern vorlesen Druckansicht 49 Kommentare lesen
Lesezeit: 3 Min.

Kaum schließt der Microblogging-Dienst Twitter das Problem mit den fälschbaren SMS-Updates zumindest provisorisch, schon taucht eine Cross-Site-Scipting-Lücke auf, die prinzipiell sogar ein Wurm ausnutzen könnte, um sich im Twitter-Space auszubreiten.

Das unsichtbare Eingabefeld beginnt direkt hinter "(optional):"

Gefälschte Twitter-News via SMS soll eine optionale PIN für SMS-Nachrichten verhindern. Das Problem dabei ist, dass man diese Funktion selbst aktivieren muss und bislang so gut wie niemand davon weiß.

Nachdem heise Security gemeldet hatte, dass es zumindest in Deutschland und Großbritannien problemlos möglich war, Twitter-Updates über SMS-Kurznachrichten mit gefälschter Absenderaddresse einzuschleusen, ging die amerikanische Firma erst einmal auf Tauchstation: Weder Support-Anfragen noch E-Mails an die Pressestelle wurden beantwortet. Letzte Nacht reagierte dann Mitgründer Biz Stone mit einem lakonischen Verweis auf die PIN-Funktion.

Neuerdings können auch in Europa Anwender in den Device-Einstellungen eine kurze Zahlenfolge als PIN eingeben. Dann akzeptiert der Twitter-Server Status-Updates via SMS nur noch, wenn sie mit dieser PIN beginnen; Meldungen ohne oder mit falscher PIN verwirft er kommentarlos. Diese Funktion gibt es in den USA schon länger; in Deutschland und England bot sie Twitter bislang jedoch nicht an. Bei der Umstellung hat anscheinend auch das Layout der Seiten gelitten: Derzeit kann man mit Firefox und Safari die Eingabefelder für Handynummer und PIN nicht mehr erkennen; um sie dennoch einzugeben, muss man auf Verdacht an die richtige Stelle klicken.

Wer eine Handynummer mit seinem Twitter-Account gekoppelt hat, sollte unbedingt auch eine PIN vergeben. Da sich die Absenderadressen von SMS-Nachrichten leicht fälschen lassen, kann sonst jeder, der die Telefonnummer kennt, gefälschte Twitter-Nachrichten absetzen oder auch Kommandos an den Server senden.

Auch wenn der eingeschleuste Script-Code hier als Text angezeigt wird, läuft er im Hintergrund bereits und hat einen neuen infektiösen Tweet abgesetzt.

Gestern veröffentlichten die Sicherheitsexperten von Secure Science eine XSS-Lücke, die nach Tests von heise Security weiterhin offen ist; lediglich die ursprünglich verwendete, gekürzte TinyURL wurde mittlerweile gesperrt. Der Exploit wirkt ähnlich dem Don't-Click-Link, dem Ende Februar tausende klickfreudige Anwender auf den Leim gingen: Klickt ein Anwender auf einen präparierten Link, während er bei dem Dienst angemeldet ist, setzt der eingebettete Skript-Code automatisch ein Posting unter seinem Twitter-Namen ab.

Der Exploit macht sich zu Nutze, dass eine Twitter-Seite mit einem Antragsformular den Inhalt der Variablen device_source[name] ungefiltert übernimmt und einbettet. So gelangt JavaScript-Code in den Kontext der Web-Anwendung. Er erzeugt ein verstecktes HTML-Formular, das er dann selbst abschickt, um im Namen des angemeldeten Benutzers einen neuen Tweet an die Twitter-API zu senden.

Die auf Twitter üblichen Kurz-Links wie TinyURL oder is.gd verschleiern die Gefährlichkeit der präparierten Links. Mit einem ähnlich gut gewählten Text wie "Don't click this:" könnte sich ein Twitter-Wurm auf diese Art in Windeseile im Twitter-Space ausbreiten, wenn er auf die vorgeschaltete Warnung der Secure-Science-Demo verzichtet. (cr/c't) / (ju)